Google gab heute in seinem Sicherheitsblog bekannt, dass ab Juni Anmeldungen für eingebettete Browser-Frameworks blockiert werden. Die Hoffnung ist, dass ein solcher Schritt die Menschen besser vor Man-in-the-Middle-Angriffen (MITM) schützt.

Mit eingebetteten Browser-Frameworks können Entwickler Webinstanzen in ihre Anwendungen einbinden. Beispielsweise verwendet Spotify eingebettete Browser-Frameworks, damit sich Benutzer in ihren Facebook-Konten anmelden können. Die Idee hinter eingebetteten Browser-Frameworks besteht darin, die Benutzererfahrung zu verbessern, indem Benutzer in einer App gehalten werden, anstatt sie an einen vollständigen Browser zu binden, wenn sie sich bei einem Dienst anmelden möchten.

Das Problem ist, dass ein MITM-Angriff Anmeldeinformationen und zweite Faktoren abfangen kann. Laut Google kann in eingebetteten Browsern nicht zwischen einer legitimen Anmeldung und einer MITM-Attacke unterschieden werden. Die Lösung von Google besteht also darin, Anmeldungen von eingebetteten Browser-Frameworks insgesamt zu blockieren.

Aus diesem Grund möchte Google, dass Entwickler zur browserbasierten OAuth-Authentifizierung wechseln. Auf diese Weise senden Apps Benutzer an Chrome, Safari, Firefox oder andere mobile Browser, wenn sie sich bei einem Dienst anmelden möchten.

In Bezug auf die derzeitige Funktionsweise von Anmeldungen mag dies unbequemer erscheinen. Die heutige Ankündigung bedeutet jedoch, dass die Nutzer die vollständige URL einer Seite sehen können. Auf diese Weise wissen die Nutzer, ob die Seite, auf der sie ihre Anmeldeinformationen eingeben, legitim ist oder nicht.

Entwickler mit Apps, für die Zugriff auf Google-Kontodaten erforderlich ist, sollten heute auf die browserbasierte OAuth-Authentifizierung umsteigen.